8.3. Усечение сообщений
Усечение сообщений может быть использовано злоумышленником для сокрытия жизненно важной информации журнала. Сообщения, превышающие максимально допустимый для транспортного механизма получателя размер, могут быть усечены или отброшены им. Таким образом, жизненно важная информация журнала может быть потеряна.
С целью предотвращения потери информации, сообщения не должны превышать минимальный максимум длины сообщения в соответствии с требованиями Раздела 6.1. Для достижения наилучшей производительности и надежности, сообщения должны быть настолько короткими, насколько это возможно. Важная информация должна размещаться как можно ближе к началу сообщения, так как, в этом случае, менее вероятно, что она будет отброшена из-за ограничений транспортного механизма получателя.
Источник должен ограничивать размеры любых пользовательских данных в сообщениях Syslog. Если этого не делать, то злоумышленник может попытаться передавать большие объемы данных в надежде на использование потенциальной уязвимости.
8.4. Повторное воспроизведение
В протоколе Syslog не существует механизма, позволяющего обнаруживать повторное воспроизведение сообщений. Злоумышленник может перехватить и записать набор сообщений, характеризующий нормальную работу какой-либо машины. Позднее, этот злоумышленник может заблокировать доступ атакуемой машины к сети и от ее имени начать воспроизводить ранее записанные сообщения Syslog, передавая их ретранслятору или коллектору. Даже при наличии поля TIMESTAMP в области HEADER, злоумышленник может просто изменять ранее записанные пакеты, чтобы отразить текущее время при воспроизведении. Администраторы могут не найти ничего необычного в полученных сообщениях и будут обмануты, посчитав, что данная машина функционирует нормально.
Криптографическое подписывание сообщений позволяет выявить несанкционированное изменение полей, в том числе и TIMESTAMP, и обнаружить атаку «повторного воспроизведения».